RODO aktualności – 11.08.2020

• do Urzędu Ochrony Danych Osobowych przedsiębiorcy zwracają się z pytaniami, czy w ramach przeprowadzanych kontroli instytucje, takie jak Zakład Ubezpieczeń Społecznych (ZUS) czy Państwowa Inspekcja Pracy (PIP), mogą mieć wgląd do akt osobowych pracowników
• uprawnienia takie nadawane są na podstawie przepisów szczególnych – takimi aktami prawnymi mogą być na przykład ustawa o Państwowej Inspekcji Pracy czy ustawa o systemie ubezpieczeń społecznych
• wskazane przykładowo instytucje, realizując swoje zadania ustawowe, przetwarzają dane na podstawie przepisów szczególnych, co w RODO znajdzie odzwierciedlenie w art. 6 ust. 1 pkt c), który legalizuje przetwarzanie, gdy dochodzi do niego w związku z realizacją obowiązków wynikających z przepisów prawa
• zatem kiedy instytucje wykonują swoje zadania na podstawie uprawnień ustawowych, nie można im odmówić udostępnienia żądanych dokumentów
• inspektorzy przeprowadzający czynności kontrolne są zobowiązani nie tylko do zachowania w tajemnicy informacji, które uzyskali podczas wykonywania czynności służbowych, ale także zasad wynikających z RODO – zaliczamy do niech zasadę proporcjonalności, a także zasadę ograniczenia celu oraz zasadę minimalizacji danych

Źródło: https://uodo.gov.pl/pl/138/1628

• wesela stały się nowymi ogniskami pandemii koronawirusa – w związku z tym planuje się wprowadzenie obowiązkowej rejestracji uroczystości
• Minister Zdrowia wskazuje, że resort chciałby, by było wiadomo, gdzie takie wesele się odbywa i kto w nim uczestniczy, jak wskazuje, wszystko ma odbywać się w zgodzie z RODO
• Dr Maciej Kawecki wskazuje, że coraz bardziej niepokojąca sytuacja epidemiczna sprawia, że prywatność informacji musi ustąpić miejsca nadrzędnemu celowi, jakim jest obecnie zahamowanie rozprzestrzeniania się koronawirusa – jego zdaniem rejestrowanie danych uczestników wesela nie stoi w sprzeczności z RODO i jest to działanie proporcjonalne do występującego zagrożenia

Źródło: https://www.biznesinfo.pl/wesele-050820-pt-rodo

• badacze firmy Cyble natknęli się “w Darknecie” na 9 plików tekstowych, w których odnaleźli dane 579 klientów UberEATS, w tym Polaków oraz informacje na temat 100 kierowców, którzy dostarczali jedzenie
• wedle ujawnionych przez badaczy informacji, w przypadku kierowców, pliki zawierają: adres e-mail, imię i nazwisko, numer telefonu, token API
• znalazcy danych UberEATS nie informują ani gdzie znaleźli dane, ani kto je opublikował – nie wiadomo więc ile osób mogło mieć dostęp do pliku ani jakie jest pochodzenie tych danych
• jak wskazuje Niebezpiecznik.pl wpis na blogu firmy Cyble to przykład jak nie informować społeczeństwa o wycieku danych – publikacja wprowadza więcej zamieszania niż pożytku, a rady jakich udziela firma są bardzo wątpliwe

Źródło: https://niebezpiecznik.pl/post/ubereats-wyciekly-dane-600-klientow-ale-nie-wiadomo-jak/

• Amerykańska Federalna Komisja Handlu (FTC) prowadzi dochodzenie w sprawie prywatności na Twitterze
• gigant mediów społecznościowych miał dopuścić się nadużywania danych użytkowników do celów marketingowych
• według dziennika Financial Times serwis społecznościowy miał używać do zwiększania skuteczności targetowania reklam adresów e-mail oraz numerów telefonów osób korzystających z Twittera
• kara grzywny, którą może zakończyć się dochodzenie FTC, może wynieść nawet 250 mln dolarów
• w październiku ubiegłego roku Twitter przyznał się publicznie do „nieumyślnego” wykorzystania danych osobowych, w tym numerów telefonów i adresów e-mail dostarczanych do serwisu przez jego użytkowników – według ich przekonania – „dla celów bezpieczeństwa”, po to, aby zwiększyć skuteczność targetowania reklam w latach od 2013 do 2019 r
• FTC we wstępnej wersji orzeczenia oceniła, że Twitter naruszył zasadę dobrowolności przekazywania danych dla celów marketingowych, której zobowiązał się przestrzegać w 2011 r. w wyniku ugody z Komisją, zawartej celem rozwiązania spraw wcześniejszych oskarżeń o stwarzanie ryzyka dla prywatności użytkowników – pojawiły się one po wykorzystaniu przez hakerów wewnętrznych narzędzi kontrolnych serwisu celem dostępu do kont osób wykorzystujących tę usługę dwukrotnie w 2009 r.

Źródło: https://www.cyberdefence24.pl/polityka-i-prawo/twitter-naruszyl-prywatnosc-uzytkownikow-dla-celow-marketingowych 

• sąd może zażądać od dostawcy internetu udostępnienia tajemnicy telekomunikacyjnej w postaci danych osobowych abonenta na potrzeby procesu cywilnego o ochronę dóbr osobistych – orzekł Sąd Najwyższy
• SN podjął uchwałę ws. pytania prawnego Sądu Apelacyjnego w Gdańsku – „Sąd jest uprawniony – na podstawie art. 159 ust. 2 pkt 4 ustawy Prawo telekomunikacyjne – do zażądania od podmiotu związanego tajemnicą telekomunikacyjną informacji pozwalających zweryfikować twierdzenie powoda, że czynu naruszającego dobra osobiste dopuścił się pozwany w sprawie”
• gdański Sąd Apelacyjny wystąpił z pytaniem do SN w ramach rozpatrywanej sprawy o ochronę dóbr osobistych – w procesie tym sąd zwrócił się wcześniej do firmy telekomunikacyjnej o udostępnienie danych osobowych pozwanego, ale dostawca, powołując się na prawo telekomunikacyjne, nie udostępnił żądanej informacji
• do sprawy przed SN przyłączył się też Rzecznik Praw Obywatelskich – w swoim stanowisku rzecznik wskazał, że świadczeniodawca nie jest uprawniony do odmowy przedstawienia danych osobowych abonenta w sprawie o naruszenie dóbr osobistych – jeżeli to właśnie treści prezentowane za pośrednictwem internetu mogą stanowić podstawę tego naruszenia
• zdaniem RPO inaczej obywatel byłby pozbawiony konstytucyjnego prawa do sądu oraz do ochrony swej prywatności

Źródło: https://prawo.gazetaprawna.pl/artykuly/1487846,sn-sad-moze-zadac-udostepnienia-danych-abonenta-na-potrzeby-procesu-cywilnego.html

• informacja o wysokości wynagrodzenia pracownika jest jego prywatną sprawą i przede wszystkim jego dobrem osobistym
• w tym zakresie należy zwrócić uwagę na orzeczenie Sądu Najwyższego w kwestii ochrony tajemnicy wynagrodzenia, który stwierdził w uchwale podjętej 16 lipca 1993 r., I PZP 28/93, że ujawnienie przez pracodawcę bez zgody pracownika wysokości jego wynagrodzenia za pracę może stanowić naruszenie dobra osobistego w rozumieniu art. 23 i 24 Kodeksu cywilnego
• pracodawca bez przepisu rangi ustawy nie może wprowadzić transparentności wynagrodzeń
• podpisywanie przez wszystkich pracowników zgody na ujawnianie informacji o wysokości osobistego wynagrodzenia może powodować wątpliwości co do skuteczności tej zgody – jeżeli bowiem pracodawca tworzy obowiązkową transparentność wynagrodzeń, a jedynie dla zachowania pozoru dobrowolności wyrażenia zgody prosi o zgodę pracowników, to trudno uznać, że w tym wypadku zgoda jest wyrażana w sposób dobrowolny

Źródło: https://www.prawo.pl/kadry/czy-informacja-o-wynagrodzeniau-moze-byc-jawna,502125.html

• McDonalds szeroko informuje o incydencie, jaki miał miejsce w obrębie jednego z systemów firmy — serwisu wyświetlającego grafiki pracownicze obsługiwanym przez agencję 24/7 Communication
• powodem wycieku było “omyłkowe umieszczenie kopii bazy danych w nieprzeznaczonym do tego folderze”
• firma poinformowała pracowników wysyłając im obszerny, 7 stronnicowy dokument opisujący incydent, ale także opublikowała informację prasową o incydencie oraz wykupiła ogłoszenie w prasie
• dane pracowników z 5 lat były publicznie dostępne przez ponad rok, od stycznia 2019 do lipca 2020
• poza danymi określającymi stanowisko, współpracę, powody nieobecności pracownika, czyli typowymi kadrowymi, w pliku znajdowały się imiona i nazwiska i PESEL-e (lub numery paszportów) pracowników
• McDonald’s twierdzi, że dane nie zostały nigdzie upublicznione i że monitoruje sieć pod kątem takiego upublicznienia
• wyciek nie dotyczy klientów

Źródło: https://niebezpiecznik.pl/post/wyciek-danych-pracownikow-mcdonalds/

• Facebook pozwał do sądu Unię Europejską za naruszenie prywatności pracowników firmy
• chodzi o sposób, w jaki instytucje antymonopolowe UE prowadziły śledztwo wobec Facebooka
• według Facebooka, śledczy w postępowaniu antymonopolowym, toczonym wobec giganta, zadawali pytania i prosili o dane wykraczające poza niezbędny do rozwiązania sprawy zakres
• unijny regulator miał dopytywać m.in. o osobiste szczegóły życia pracowników Facebooka, mimo że śledztwo dotyczyło wykorzystywania danych przez spółkę
• Facebook twierdzi, że gdyby miał odpowiedzieć na prośby UE o wszystkie dane, musiałby przekazać Unii „przeważnie nieistotne dokumenty, które nie mają nic wspólnego ze śledztwem, w tym wrażliwe informacje osobiste o pracownikach, na przykład medyczne, finansowe oraz o życiu prywatnym”
• ani Unia Europejska ani Komisja Europejska nie ustosunkowały się jeszcze do pozwu Facebooka

Źródło: https://businessinsider.com.pl/firmy/facebook-pozywa-unie-europejska-za-naruszenie-prywatnosci-pracownikow/2brlm71?fbclid=IwAR0d2fIpchGgjZJV6vzzXeEDJxO-fFkqYrTeglVI6UEscRsejMNjeSkzmn8

• na stronie UODO pojawiły się odpowiedzi na kolejne praktyczne pytania, związane z ochroną danych osobowych i bezpieczeństwem informacji
• Jaka jest podstawa przetwarzania danych członków rodziny pracownika korzystającego z ZFŚS?
  • podstawami uprawniającymi pracodawców do przetwarzania danych na potrzeby przyznania ulgowej usługi i świadczenia oraz dopłaty z zakładowego funduszu świadczeń socjalnych oraz ustalenia ich wysokości są art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. b RODO w połączeniu z właściwym przepisem ustawy o zakładowym funduszu świadczeń socjalnych

Źródło: https://uodo.gov.pl/pl/225/1617?fbclid=IwAR2i82CUIfTMYndm1TKfbxH92DQFokZDOvDdEuLNuIXQYBYCR9mZMRgQJFA

• Czy z sołtysem należy zawierać umowę powierzenia?
  • gdy sołtys będzie działał w celu wykonywania zadań wskazanych w ustawach (np. ustawy Ordynacja podatkowa), uchwałach rady gminy, zarządzeniach wójta zgodnie z statutem sołectwa będzie on reprezentował gminę przed mieszkańcami i może działać na podstawie upoważnienia od wójta np. jako inkasent lub doręczyciel
  • gdy sołtys będzie realizował inne zadania wynikające ze statutu sołectwa związane z reprezentacją mieszkańców sołectwa przed gminą, wówczas dojść może do sytuacji, w której sołtys lub sołectwo – ze względu na okoliczności danego przypadku – będzie mogło zostać uznane za administratora

Źródło:  https://uodo.gov.pl/pl/225/1618?fbclid=IwAR2-Wsz-XlNzxNKXfKLL_ZF4Ybpg0nUdVEQIjtsQuy9ox5YIe46JOSdBvtA

• Kto jest administratorem w przypadku PKZP działającej przy pracodawcy?
  • zarówno pracodawca (zakład pracy), jak i PKZP, w zakresie przetwarzanych przez siebie danych osobowych, samodzielnie ustalają własne cele i sposoby ich przetwarzania, dlatego też zasadnie można uznać, że powinni być traktowani jako oddzielni administratorzy

Źródło: https://uodo.gov.pl/pl/225/1619?fbclid=IwAR1Frbgrg2bc8BoGyxAhNMZqmRDpQJLZKp2JEG_7FXPsNydhiP1XWlkc438

• EROD przyjęła notę informacyjną przedstawiającą działania, które powinny zostać podjęte, aby zapewnić, że wiążące reguły korporacyjne mogą być nadal wykorzystywane jako ważne narzędzie przekazywania danych po zakończeniu tzw. okresu przejściowego związanego z wystąpieniem Wielkiej Brytanii z UE
• rekomendowane działania powinny zostać zdaniem EROD podjęte przez organy nadzorcze, podmioty posiadające zatwierdzone wiążące reguły korporacyjne oraz organizacje, których wiążące reguły korporacyjne są w toku rozpatrywania przez organ nadzorczy Zjednoczonego Królestwa
• ponieważ wraz z końcem okresu przejściowego organ nadzorczy Zjednoczonego Królestwa nie będzie już właściwym organem nadzorczym na mocy RODO, decyzje o zatwierdzeniu podjęte przez ten organ nie będą już miały skutków prawnych w EOG

Źródło: https://uodo.gov.pl/pl/138/1615

• Ministerstwo Cyfryzacji skierowało do konsultacji publicznych projekt nowego prawa komunikacji elektronicznej – trudniej będzie przesyłać oferty handlowe, a klienci będą mogli łatwiej rozwiązać umowę
• projekt polskiego prawa komunikacji elektronicznej (PKE) ma w całości zastąpić dotychczasowe Prawo telekomunikacyjne i wdrożyć unijną dyrektywę Europejski kodeks łączności elektronicznej z 11 grudnia 2018 r. – przepisy mają wejść w życie do 21 grudnia br.
• zgodnie z projektowanym art. 360 zakazane jest używanie automatycznych systemów wywołujących lub telekomunikacyjnych urządzeń końcowych dla celów przesyłania niezamówionej informacji handlowej w rozumieniu ustawy o świadczeniu usług drogą elektroniczną, w tym marketingu bezpośredniego – to oznacza, że wymagana będzie zatem jedna zgoda na marketing bezpośredni
• obecnie firmy mają z tym duży problem, bo o obowiązku uzyskania zgody mówią dwa przepisy: art. 172 prawa telekomunikacyjnego oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną – w efekcie nie wiadomo, na podstawie którego przepisu zebrać zgodę na przesłanie oferty sms, niektórzy wskazują, ze że potrzebne są dwie zgody (sms, email marketing)

• po wejściu w życie PKE będzie wiadomo, że potrzebna jest jedna zgoda
• co ważne będzie to zgoda w rozumieniu RODO – zgodnie z RODO zbieramy zgody na cel, a nie poszczególne operacje, po zmianie przepisów powinna się zmniejszyć liczba chekboxów na wyrażenie zgody, bo czasem pojawiają się głosy, że chodzi o dwa różne oświadczenia jedno dotyczące samego przetwarzania danych (czyli „zgoda z RODO”) i oddzielną na marketing elektroniczny (zgoda „marketingowa”)
• zgodnie z projektowanym art. 360 zgodę trzeba uzyskać od oznaczonego odbiorcy, będącego użytkownikiem końcowym – to oznacza, że polskie prawo będzie chroniło nie tylko osoby fizyczne, i nie tylko konsumentów
• Polska nie skorzystała z możliwości rozluźnienia wymogów marketingu w relacjach B2B mimo, że pozwala na to prawo europejskie – art. 13 ust. 5 dyrektywy o prywatności chroni przed spamem i telefonami przede wszystkim osoby fizyczne, jego ustęp drugi pozwala krajom członkowskim wyłączyć obowiązek uzyskania zgody od klientów handlowych, o ile zostali oni poinformowani o możliwości zgłoszenia sprzeciwu

Źródło: https://www.prawo.pl/biznes/projekt-prawa-komunikacju-elektronicznej-zmiany-dla-biznesu,502054.html

• UODO wskazuje, że pracodawca może pod pewnymi warunkami wywieszać w zakładzie pracy najlepsze wyniki dotyczące wydajności pracy, które były oparte na jego indywidualnej ocenie
• takie działanie nie może narazić innych pracowników na stygmatyzację i naruszać ich dóbr osobistych – zgodnie Kodeksem pracy pracodawca musi szanować godność i inne dobra osobiste pracownika, a pracownicy powinni być równo przez niego traktowani
• ponadto pracodawca, stosując przepisy wynikające z RODO, powinien poświęcić szczególną uwagę zasadom minimalizacji danych i ograniczenia celu
• pracodawca może wypracować system motywacyjny dla pracowników, aby zwiększyć ich wydajność i tym samym polepszyć jakość pracy – jednak taki system nie powinien dawać możliwości identyfikacji pracowników z indywidualnymi ocenami
• pracodawca mógłby np. wyróżnić parę osób z najlepszymi wynikami, tak by jednocześnie nie doszło do ujawnienia kto uzyskał te najgorsze – dlatego nie należy wywieszać wyników oceny pracowników w dostępnym dla wszystkich miejscu, pokazujących, który z nich najlepiej pracował, a który najgorzej sobie radził
• przetwarzanie danych osobowych pracowników na potrzeby sprawnego i efektywnego funkcjonowania zakładu pracy pracodawca może oprzeć na uzasadnionym interesie administratora

Źródło: https://uodo.gov.pl/pl/138/1625